支付寶出現(xiàn)安全漏洞�,你知道嗎?
—— 閱讀:3598次
昨日早些時候���,有網(wǎng)友爆料支付寶存在致命漏洞�,熟人可以輕易登陸你的支付寶賬號�,北京時間對此進(jìn)行了測試,并聯(lián)系了支付寶相關(guān)負(fù)責(zé)人進(jìn)行求證����。
測試1:
根據(jù)網(wǎng)友說法,原理是“登錄手機(jī)賬號——忘記密碼——手機(jī)不在身邊——淘寶買過的東西9張圖片選1個——好友驗證9個好友圖片選1個——登錄成功���。這時就可以直接掃二維碼付款不用密碼�。”
購買過的商品
北京時間使用6臺手機(jī)進(jìn)行測試:在前5臺手機(jī)測試中��,均未出現(xiàn)該網(wǎng)友所說的步驟�,即“淘寶買過東西”,所以也就無法實現(xiàn)后續(xù)“好友驗證及登錄”步驟���。
可能認(rèn)識的人
不過在第6臺手機(jī)手機(jī)測試中�����,真的出現(xiàn)了該網(wǎng)友所述的情況��,可以通過“好友買過的東西”�,以及“好友驗證”來設(shè)置新密碼。
其它驗證方式
這6臺手機(jī)均使用的是10.0.1版本的支付寶�����,但在驗證方式上卻出現(xiàn)了不同��,似乎是與用戶個人信息完整度有關(guān)��。
測試2:
另一個原理則是“輸入登錄名——忘記密碼——手機(jī)不在身邊——回答安全保護(hù)問題——修改密碼——登錄成功”�����。
北京時間嘗試登陸一位好友的賬號���,首先輸入登錄名后,選擇忘記密碼��。隨后支付寶對手機(jī)進(jìn)行了安全檢測,很快便通過了檢�����。
這時頁面顯示出可以通過回答安全保護(hù)問題找回密碼�,出于對好友很了解,便很快答上了兩個安全保護(hù)問題�。隨后成功修改了該好友的支付寶密碼并進(jìn)行了登錄。
除了通過安全保護(hù)答問題可以找回登錄密碼�����,還看到通過“驗證本人銀行卡信息”��、“撥打驗證電話”的方式也可以找回密碼�。
隨后北京時間聯(lián)系支付寶相關(guān)負(fù)責(zé)人,看到對方在自己的朋友圈曬出了自己的支付寶號��,并表示“盡管來試���,能盜走算你的”�����。該負(fù)責(zé)人還對相關(guān)人士表示�,像“爸爸名字”、“媽媽生日”這樣的信息都是戶口本上才有的很隱私的信息���,并不為大多數(shù)人所知曉���,如果遇到熟人作案可以選擇原諒對方,或進(jìn)行起訴�����。
以下為支付寶官方回應(yīng):
